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(54) Sicherung von Mobiistationen eines Funk-Kommunlkationssystems 

FIG2 



(57) Ausgehend davon, dass jede Mobilstation (Ml) 
ein Identitdtsmodul (USIM) und eine Benutzergerat 
(UE) aufweist, wird gemdB dem Gegenstand der Erf in- 
dung das Benutzergerat (UE) durch ein teilnehmerge- 
steuertes Spen-en und Entsperren gegen einen 
Missbrauch gesichert. Das erfindungsgemSBe Merk- 
mal. teilnehmergesteuert ein Sperren/Entsperren des 
Benutzergerats (UE) durchzufuhren. macht vorteilhaf- 
terweise ein netzseitiges zentrales Register mit Gerate- 
kennungen zur Identifikation gestohiener Benutzer- 
gerate redundant und erhoht fOr den Teilnehmer somit 
den Qrad der Sicherheit der von ihm verwalteten Benut- 
zergerate. 
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SUB. Bei erfolgreicher Authentifikation bestatigt das 
Identitatsmodul USIM das Errtsperren des Benutzerge- 
rats UE, wobei es zuvor ihren entsprechenden Zustand 
LSr fur das Benutzergerat UE intern zurucksetzt (LST 
disabled) - siehe FIG 4. Zur Bestatigung sendet es eine 5 
Nachricht LDRS (Lock Disable Response) zurucK wor- 
aufhin die Steuereinrichtung CU das Aufheben der bis- 
herigen Sperre in der Speichereinrlchtung MU (LST 
disabled) veranlaBt und das Entsperren dem Teilneh- 
mer SUB mit der Nachricht LDCF (Lock Disable Con- w 
firm) bestfitigt - siehe FIG 4. 

[0015] Wenn erfindungsgemaB die Sperre im 
Benutzergerat US aufgehoben ist, erkennbar am 
Zustand LST, hat jeder Teilnehmer SUB die Mdglichkeit 
die Sperre wieder einzuschalten und das Benutzergerat is 
UE an die Chipkarte UlCC mitseinem Indentitatsmodul 
USIM zu binden. Der Teilnehmer SUB gibt einen ent- 
sprechenden Befehl LECM (Lock Enable Command) 
ein - siehe FIG 2 - , der von der Steuereinrichtung CU 
des Benutzergerats US in eine Nachricht LERQ (Lock 20 
Enable Request) umgesetzt und zum Identitatsmodul 
USIM dann ausgesendet wind, wenn der Zustand LST 
dies eriaubt (LST disabled). Die erfbrderlichen Schitte 
veranlasst die Steuereinrichtung CU,. Das Identitatsmo- 
dul USIM authentif iziert dann den Teilnehmer SUB. Bei 25 
erfolgreicher Authentifikation bestatigt das Identitatsmo- 
dul USIM das Spen-en des Benutzergerats UE, wobei 
es zuvor ihren entsprechenden Zustand LSr fur das 
Benutzergerat UE intern setzt (enable LST) - siehe FIG 
2. Zur Bestatigung sendet es eine Nachricht LERS 30 
(Look Enable Response) zurOck. woraufhin die Steuer- 
einrichtung CU das emeute Setzen der Spen^e in der 
Speichereinrlchtung MU (LST enabled) veranlaBt und 
den gesperrten Zustand dem Teilnehmer SUB mit der 
Nachricht LECF (Lock Enable Confimi) bestatigt - siehe 35 
FIG 2. 

[0016] Die Teilnehmerauthentifikation ist vorzugs- 
weise sowohl beim Sperren ais auch belm Entspen-en 
erforderlich. Dabei finden bevorzugt andere Sicher- 
heitsparameter Anwendung als die bei einer Benutzer- 4o 
authentifikation zur Oberprufung der Zugangs- 
berechtigung des mobilen Benutzers zum Funk-Kom- 
munikationssystemtienutzten Sicherheitsparameter. Im 
einfachsten Fall wind zur Teilnehmer- und Benutzerau- 
thentifikation eine pers6nliche Identiffikationsnummer 4S 
venwendet, die fur den Teilnehmer SUB aus der Num- 
mer SPIN und fur den Benutzer USE aus der Nummer 
UPIN besteht. 

[0017] Die Zustande Spenen/Entspen-en fur das 
Benutzergerat UE sind durch das Identitatsmodul USIM so 
anderbar. jeweils auf Anfbrderung eines Teilnehmers 
Oder Benutzers der Mobilstation MT uber entspre- 
chende Eingabebefehle. Dadurch entsteht eine hohe 
Sicherheit fur die Benutzergerate und die Mobilstatio-^^ 
nen. die vOllig netzunabhangig auf einem zwischen dem 55 
Benutzergerat UE und dem in die Mobilstation einge- 
setzten Wentitatsmodul USIM basierenden Verfahren 
aWauft. Das teilnehmergesteuerte Sperren und Ent- 



sperren auf Basis des Benutzergerat* UE mit der der 
Bindung an das jeweilige Identitatsmodul USIM eriaubt 
eine serielle Nutzung mehrerer Module in Chipkarten 
UlCC (bzw. SIM-Karten fur GSM-Systeme) - in ein- und 
demselben Benutzergerat. was insbesondere beim 
Ubergang des mobilen Teilnehmers in mehrere Funk- 
Kommunikationssysteme in Bezug auf die Sicherungs- 
funktionen von Vorteil ist. 

[0018] Mehrere Mechanismen sind zur Implemen- 
tierung des teilnehmergesteuerten Sperr- und Entspen*- 
vorgangs anwendbar. von denen im folgenden drei 
Beispiele angegeben sind. Dabei reichen diese Bei- 
spiele von einfach bis aufwendig. wobei letztgenannte 
AusfQhrungsbeispieleden Vorteil einer hOheren Sicher- 
heit bieten. 

[0019] Allen Beispielen ist gemeinsam, dass in der 
Speichereinrlchtung MU des Benutzergerats UE der 
Zustand LST, eine unveranderbare Geratekennung 
IMEI (user equipment identity) und einige zusatzliche 
Daten gespeichert sind. 

[0020] Eine erste Variante - siehe unter 1. in den 
Figuren 2 bis 4 - zum Spen-en/Entsperren besteht darin. 
In der Speichereinrichtung MU einen unverandeitoareri 
Wert VAL abzulegen. der auch von dem Identitatsmodul 
USIM gespeichert wird. Falls die Spen-e wirkt (lock ena- 
bled), sendet das Benutzergerat UE den Wert VAL und 
die Geratekennung IMEI in der Nachricht LERQ zum 
IdentitafsnrKxJul USIM. das - nach erfolgracher Authen- 
tifikation -den Wert VAL and die Geratekennung IMEI in 
seinem Speicher speichert und die Sperre durch Ande- 
rung des Zustands LST im Modul setzt. Zu einem spa- 
teren Zeilpunkl, im Falle der Authentifikation zwischen 
Benutzergerat UE und Identitatsmodul USIM - siehe 
FIG 3 - , sendet das Modul den gespeicherten Wert VAL 
in der Nachricht UARS zum Gerat. Dieser eintreffende 
Wert VAL wird mit dem in der Speichereinrichtung MU 
abgelegten Wert VAL verglichen. Die Identifikation des 
Benutzergerats UE anhand der Geratekennung IMEI 
verhindert, dass der Wert VAL im Modul USIM bei Ein- 
setzen des Moduls USIM In ein anderes Benutzergerat 
UE uberschrieben wind, wobei das Benutzergerat UE, 
das ursprOnglich an dieses Modul gebunden war. 
unbrauchbar wOrde. Diese Vorgehensweise eriaubt so 
viele Benutzergerate UE an ein einziges Identitatsmo- 
dul USIM zu binden, wie Speicherkapazltat hierfur im 
Modul vorhanden ist. 

[0021] Eine zweite Variante - siehe unter 2. in den 
Figuren 2 bis 4 - zum Sperren/Entsperren besteht darin. 
dass die Speichereinrichtung einen unveranderbaren 
SchlGssel KEY sowie zwei Sicherungsfunktionen FUN1 
und FUN2 enthait. Das Identitatsmodul USIM speichert 
ebenso in seinem Speicher den Schlussel KEY die 
Geratekennung IMEI unddiebeiden Sicherungsfunktio- 
nen FUN1 und FUN2. Zum Setzen der Sperre sendet 
das Benutzergerat UE den Schlussel KEY und ihre 
Geratekennung IMEI in der Nachricht ELRQ zum Modul 
USIM. Das Modul speichert die eintreffenden Daten 
KEY und IMEI nach erfolgreicher Teilnehmeraurhentifi- 
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katipn. Zuaeinem spdteren Zeitpunkt. im Falle der 
Authentifikation zwischen Benutzergerdt UE und Identi- 
tatsmodu! USIM - slehe FIG 3 - , erzeugtdas Gerat eine 
Zufallszahl RND und sendet sie zusammen mit der Ken- 
nung IMEI in der Nachricht UARQ zum Modul. Das 5 
Modul berechnet anhand der SIcherungsfunktion 
FUN1 , des gespeicherten Schlusels KEY und der emp- 
fangenen Zufallszahl RND eine zugehOrige Antwort 
RES und sendet sie in der Nachricht UARS zum Gerat 
zurOck. 

[0022] Bei Eintreffen der Antwort wind von der Steu- 
ereinrichtung CU eine zugehOrige Antwort RES nach 
demselben Verfahren berechnet und das Eergebnis mit 
der vom Moduf empiangenen Antwort verglichen. 
[0023] Wenn die Sperre im BenutzergerSt UE wirkt is 
und das richtige Identitatsmodul USIM eingesetzt ist. 
kann diese Sperre tellnehmergesteuert aufgehoben 
werden, indem der Teilnehmer SUB den Befehl LDCM 
initiiert - siehe FIG 2. In diesem Fall generiert das 
Benutzergerat UE eine Zulallszahl RND und sendet sie 20 
gemeinsam mit der Kennung IMEI in der Nachricht 
LDRQ zum Modul USiM. Das Modul verifiziert die Ken- 
nung IMEI, authentifiziertden Teilnehmer SUB und, falls 
diese erfolgreich ist, berechnet die Antwort RES unter 
Anwendung des Schlussels KEY der Zahl RND und der 25 
SIcherungsfunktion FUN2. Die auf diese Weise berech- 
nete Antwort RES wird zum Gerdt UE gesendet. wo sie 
dessen Entspen-en durch Andem des Zustands LSI 
bewirkt. Vorzugsweise werden immer zwei verschie- 
dene Funktionen FUN1 and FUN2 zum Schutz gegen 30 
Attacken benutzt. die vor aliem die Modrf ikation der uber 
die Schnittstelte zwischen Gerat und Modul ubertrage- 
nen Nachrichten zum Ziel haben. Bei einer einzelnen 
Sicherungsfunklion konntedie Nachricht LDRQ auf die- 
ser Schnittstelle abgehOrt, zur Nachricht UARQ modifi- 35 
ziert an das Modul USIM wertergeleitet werden. Danach 
wurde die Antwort vom Modul abgehfirt werden, ohne 
dass eine Authentifikation erfolgt. und anschlieBend 
eine geeignete Nachricht DLRS zum Gerat UE unter 
Nutzung der abgehorten Antwort RES gesendet wer- 40 
den. 

[0024] Die dritte Variante - siehe unter 3. in den 
Figuren 2 bis 4 - zum Sperren/Entsperren besteht darin, 
dass die Speichereinrichtung MU genugend Speicher- 
platz besitzt. um einen Sffentlichen Schlussel PUK 45 
sowie eine Verifizierungsalgorithmus VER zu spei- 
chem. Das Modul USIM enthait in seinem Speicher 
ebenso den dffentlichen SchlOssel PUK, einen dazu 
korrespondierenden privaten Schlussel PRK. und eine 
Unterzeichnenfunktion SIGN (signing function). Nach- so 
dem das Gerat UE das Modul USIM zum Entsperren 
auffordert und der Teilnehmer SUB sich erfolgreich 
gegenuber dem Modul USIM authentif iziert hat. sendet 
das Modul USIM ihren dffentlichen Schlussel PUK. 
Wenn das Gerdt eine Authentifikation durchfuhrt gene- ss 
riert es eine Zufallszahl RND und sendet sie in der 
Nachricht UARQ zum Modul. Das Modul berechnet eine 
Antwort RESP, nutzend die Unterzeichnerfunktion SIG. 



die Zahl RND und ihren privaten Schlussel PRK. und 
sendet das Ergebnis in der Nachricht UARS zum Ger§t 
UE. Das Gerat verifiziert. ob die empfangene Antwort 
RES eine kon^ekte Antwort auf die Zufallszahl RND ist, 
indem sie die Verfizierungsfunktion VER, den dffentli- 
chen Schlussel PUK des Moduls USIM und die Zahl 
RND zur Berechnung einer eigenen Antwort benutzt 
und das Erg^nis mit der empfangenen Antwort RES 
vergleicht. 

[0025] Die zweite Variante schOtzt vor aflem gegen 
ein AbhGren auf der Schnittstelle zwischen Gerat UE 
und Modul USIM, da der geheime Schlussel KEY weder 
das Gerat noch das Modul USIM veriaBt. solange nicht 
die Sperre erstmalig erfolgreich aufgehoben wird. wofQr 
die Authentifikation notwendig ist. as 

Patentanspruche 

1. Verfahren zur Sicherung von Benutzergeraten (UE) 
in Mobilstationen (MT) mobiler Teilnehmer eines 
Funk-Kommunikationssystems. wobei jede Mobil- 
station (MT) auBer dem Benutzergerdt (UE) ein 
Identitdtsmodul (USIM) mit teilnehmerbezogenen 
Daten zur Identifizierung des mobilen Teilnehmers 
gegenuber dem Funk-Kommunikationssystem auf- 
weist, 

dadurch gekennzeichnet, 

dass das Benutzergerat (UE) durch ein tetinehmer- 
gesteuertes Sperren und Entsperren gegen einen 
Missbrauch gesichert wird. 

2. Verfahren nach Anspruch 1 . 
dadurch gekennzeichnet, 

dass durch das Sperren und Entsperren des Benut- 
zergerats (UE) eine Bindung an das identitatsmo- 
dul (USIM) erzeugt und aufgehoben wind. 

3. Verfahren nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, 

dass zum Sperren und Entspen-en des Benutzerge- 
rats (UE) eine Teilnehmerauthentifikation gegen- 
Qber dem Identitatsmodul (USIM) durchgefOhrt 
wird. 

4. Verfahren nach Anspruch 3, 
dadurch gekennzeichnet, 

dass for die Teilnehmerauthentifikation andere 
Sicherheitsparameter (VAL, KEY, PUK, PRK) als 
die bei einer Benutzerauthentifikation zur Uberpru- 
fung der Zugangsberechtigung eines mobilen Teil- 
nehmers zum Funk-I^mmunikationssystem 
benutzten Sicherheitsparameter angewendet wer- 
den. 

5. Verfahren nach Anspruch 3 oder 4, 
dadurch gekennzeichnet, 

dass zur Teilnehmerauthentifikation eine pers6nli- 
che Identifikationsnummer (SPIN) venwendet wird. 
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6. Verfahren nach einem der vorhergehenden AnsprQ- 
che. 

dadurch gekennzeichnet, 
dass beim Sperren und Entsperren des Benutzer- 
gerats (UE) ein privater SchlQssel (PRK) und ein 5 
dffentlicher Schlussel (PUK) als Sichertieitspara- 
meter verwendet werden. 

7. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, 10 

dass der offentliche Schlussel (PUK) in einer Spei- 
chereinrichtung (MU) des Benutzergerats (UE) und 
der private Schlussel (PRK) in dem IdentitdtsnrmJul 
(USIM) abgelegt und von dem Benutzergerat (UE) 
zur UberprOfung der Identitdt des Identitatsmoduls is 
(USIM) benutzt werden. 

8. Verfahren nach Anspruch 6 Oder 7, 
dadurch gekennzeichnet, 

dass die Identitat des Wentltatsmoduls (USIM) 20 
uberprOft wird, indem 

- das Benutzergerat (UE) eine Zufallszahl 
erzeugt und zu dem Identitatsmodul (USIM) 
sendet, 25 

- das Identitatsmodul (USIM) anhand der 
Zufallszahl und dem privaten Schlusel (PRK) 
eine Antwort (RES) erzeugt und zu dem Benut- 
zergerat (UE) sendet. und 

das Benutzergerat (UE) die empfangene Ant- 30 
wort (RES) mit einer anhand Offentiichen 
Schlussels (PUK) berechneten eigenen Ant- 
wort veriftziert. 

9. Mobilstation (MT) eines mobilen Teilnehmers eines 3S 
Funk-Kbmmunikationssystems, mrt einem Benut- 
zergerat (UE) und einem Identitatsmodul (USIM) 
zur Speicherung von teilnehmerbezogenen Daten 

fur eine Identifizierung des mobilen Teilnehmers 
gegenuber dem Funk-Kommunikationssystem, 40 
dadurch gekennzeichnet, 
dass das Benutzergerat (UE) Mittel (CU. MU) zum 
teilnehmergesteuerten Sperren und Entsperren 
des Identitatsmoduts (USIM) aufwelst. 

45 

10. Verfahren nach Anspruch 9, 
dadurch gekennzeichnet, 

dass Dutch die Mittel (CU: MU) zum Sperren und 
Entsperren des Benutzergerats (UE) eine Bindung 
an das Identitatsmodul (USIM) erzeugbar und auf- so 
hebbar ist. 
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FIG 3 
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